※ 本文為 zbali.bbs. 轉寄自 ptt.cc 更新時間: 2017-05-14 14:00:59
看板 AntiVirus
作者 標題 Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
時間 Sat May 13 07:58:41 2017
※ 引述《imasa (便當俠)》之銘言:
: 有興趣的人可以看看
:
: http://roger6.blogspot.tw/2017/05/wanacrypt0r-20-eternalblue-ms-17-010.html
:
: 在此就先不浪費篇幅在這post了
:
: 推 bignose0623: 想請問如何知道電腦有無中獎?在檔案尚未察覺被加密 05/13 05:28
: → bignose0623: 前,感謝 05/13 05:28
這裡有偵測的script下載
https://github.com/countercept/doublepulsar-detection-script
GitHub - countercept/doublepulsar-detection-script: A python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant.
![[圖]]()
doublepulsar-detection-script - A python2 script for sweeping a network to find windows systems compromised with the DOUBLEPULSAR implant. ...
![[圖]](https://avatars2.githubusercontent.com/u/23384414?v=3&s=400)
或者你也可以下載我改寫後打包起來的程式來偵測:
v1.06
https://mega.nz/#!aQQWEDAA!BuzKVICsuslIGEjgYRyV8gjxnaopivDV_13H0sUIqEE
備用載點:
https://www.mediafire.com/?jiph1b52d3uuwei
![[圖]](http://cdn.mediafire.com/images/filetype/download/zip.jpg)
執行前請確認檔案有無被偷改過
v1.06 File Info
Executable File SHA1: 3DE8A176F3A8EC4AA33C1DA6B5EB18DFEBDFDEBF
Executable File Size: 9,248,968 Bytes
檢查自己機器時,左鍵點兩下程式就可以了 (XP除外)
下面是程式執行後的偵測結果
現在會直接掃描電腦是否有安裝相關的的 MS17-010 KB
KB號碼參考同討論串其他網友分享的ID
尚未被攻擊:
顯示 No presence of DOUBLEPULSAR SMB implant
http://imgur.com/bhha3st
![[圖]](http://i.imgur.com/bhha3st.png)
被攻擊成功:(WanaCrypt0r可能已進行加密中或潛伏期)
http://imgur.com/BXFTu8G
![[圖]](http://i.imgur.com/BXFTu8G.png)
按照我前文的內容把SMBv1協定關閉時
顯示 This machine has already closed SMBv1 protocol
這是我自己加的、原本的script沒有這段,會跳exception
這是win7的範例圖
http://imgur.com/vxjHIth
![[圖]](http://i.imgur.com/vxjHIth.png)
winXP的範例圖
http://imgur.com/wCqEQzJ
![[圖]](http://i.imgur.com/wCqEQzJ.png)
偵測程式的其他用法請參考原始script的說明
--
貧血軟派羅傑君
http://roger6.blogspot.tw
熱血系列粉絲團
http://www.facebook.com/KunioGame
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.160.182
※ 文章代碼(AID): #1P5amuty (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494633528.A.DFC.html
※ 同主題文章:
05-13 00:43 ■ [自動轉寄] Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
05-13 04:32 ■ [自動轉寄] Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
● 05-13 07:58 ■ [自動轉寄] Re: [情報] WanaCrypt0r 2.0 大規模攻擊漏洞系統
推 : 推推1F 05/13 08:15
推 : 補充一下 Win10 開這會被擋 要選擇仍要執行才會動2F 05/13 08:18
推 : 感謝你3F 05/13 08:20
推 : 昨天這麼熱鬧 我卻因為林奕含案沮喪到關機逃過一劫 冥冥之4F 05/13 08:20
→ : 中也許是林女在保佑我的電腦 謝謝啦
→ : 中也許是林女在保佑我的電腦 謝謝啦
推 : 請問vista有得補漏洞嗎QQ?我的最後卡在去年的更新但6F 05/13 08:22
→ : 也是一直無法下載 ,是因為不支援了所以檔案整個沒得
→ : 載了嗎?謝謝
→ : 也是一直無法下載 ,是因為不支援了所以檔案整個沒得
→ : 載了嗎?謝謝
推 : 推9F 05/13 08:30
推 : 在熱門板排名快衝到前10了@@10F 05/13 08:39
→ : 哇嗚 已經進前10了
→ : 哇嗚 已經進前10了
推 : win10用了直接跑一下馬上不見,跨某12F 05/13 08:53
→ : win10不需要用這個 本身就沒漏洞了...13F 05/13 08:55
推 : 好的,謝謝14F 05/13 08:56
→ : 感謝!15F 05/13 09:00
推 : 目前沒中,但本身是盜版win7,更新5月的會藍屏……16F 05/13 09:01
→ : 現在不知道要不要換win10…
→ : 現在不知道要不要換win10…
推 : win10不是沒漏洞, 是正常情況下已經強制幫你更新了...18F 05/13 09:05
→ : 問題是在有沒有更新, 不在win10還win7...
→ : 問題是在有沒有更新, 不在win10還win7...
→ : 喔喔喔 人數持續攀升中20F 05/13 09:09
推 : 大半原因是新聞在抱了21F 05/13 09:10
推 : 當初剛裝WIN10覺得強制自動更新很靠盃,現在覺得關22F 05/13 09:17
→ : 掉才是不知死活QQ
→ : 掉才是不知死活QQ
推 : win7 sp1,檔案直接放在C: 顯示已經停止運作24F 05/13 09:19
→ : 不知道跟使用者名稱是中文有沒有關係?
→ : 不知道跟使用者名稱是中文有沒有關係?
推 : 昨晚電腦怪怪的,要怎麼知道自己有沒有中啊26F 05/13 09:25
→ : 路徑請不要有中文27F 05/13 09:25
推 : 我的意思是...我不敢再練網了,沒練網的情況下可以知道28F 05/13 09:27
→ : 嗎
→ : 嗎
推 : 我直接放在C:\底下耶 完全沒中文30F 05/13 09:29
推 : 推這篇31F 05/13 09:33
推 : 我打開來以後顯示點任意鍵繼續但 點下去後就跳出了32F 05/13 09:37
推 : 推33F 05/13 09:38
推 : 這一定要推34F 05/13 09:38
推 : 推!35F 05/13 09:40
推 : 昨天沒開機,早上起來看到就想拔儲存槽,只留系統槽更新36F 05/13 09:46
→ : 我的習慣是用外接盒 但系統碟裡的檔案就沒辦法了37F 05/13 09:48
推 : W10開起會閃跳38F 05/13 09:48
推 : 請教目前有win8的災情嗎39F 05/13 09:50
→ : 還是都8.1?
→ : 還是都8.1?
→ : win8都在中槍名單中41F 05/13 09:50
→ : gg QQ42F 05/13 09:51
→ : 請問出現closed是否也代表沒有被implant?43F 05/13 09:53
→ : 謝謝
→ : 謝謝
推 : 我Win10也是閃一下就關了 什麼都沒看到45F 05/13 09:55
推 : 感謝46F 05/13 09:58
推 : 幫推 感謝強者幫忙整理47F 05/13 09:58
推 : 請問我點了後,出現無法連線,因為目標電腦拒絕連線,這48F 05/13 10:04
→ : 是代表什麼情況?
→ : 是代表什麼情況?
→ : 就關起來了這樣50F 05/13 10:06
推 : 喔喔,所以這代表我的電腦已經堵上這個洞了嗎?非常感謝51F 05/13 10:08
推 : 我想請問一下這支程式 假如我已經中毒了 但後來關掉SMB52F 05/13 10:11
→ : 那顯示結果會是 你被攻擊了 還是 你關SMB 所以安全了?
→ : 那顯示結果會是 你被攻擊了 還是 你關SMB 所以安全了?
![[圖]](http://i.imgur.com/NcXk592.jpg)
推 : win10 會怕!所以早上就1607更新成1703了 @@55F 05/13 10:17
推 : 那要怎麼樣關閉SMBv1呢?56F 05/13 10:20
→ : Vista可以補到4月份以前的漏洞57F 05/13 10:20
推 : 我電腦沒那個協定耶 W758F 05/13 10:21
※ 編輯: imasa (114.42.160.182), 05/13/2017 10:31:59推 : 為啥我路徑也沒中文還是依開啟就當掉?59F 05/13 10:31
推 : 請問中毒的話NAS也會被感染嗎60F 05/13 10:32
→ : 我更新了偵測程式,請重新下載61F 05/13 10:32
→ : 會根據不同windows而有不同的行為,請參考更新後的內文
→ : 主要更新內容是win10會跳過、xp需要手動輸入IP
→ : vista需要在別台電腦測試
→ : 會根據不同windows而有不同的行為,請參考更新後的內文
→ : 主要更新內容是win10會跳過、xp需要手動輸入IP
→ : vista需要在別台電腦測試
推 : 請問昨天Avast攔截到一次mssecsvc.exe,剛剛搜尋電65F 05/13 10:34
→ : 腦,未發現有相關的檔案
→ : 這樣算攔截成功可放心,還是已經中標等哪天自己引爆
→ : 了?(win7)
→ : 腦,未發現有相關的檔案
→ : 這樣算攔截成功可放心,還是已經中標等哪天自己引爆
→ : 了?(win7)
→ : 感謝I大的文章69F 05/13 10:38
推 : 請問,我是照前文關掉SMB1以後才跑偵測軟體,70F 05/13 10:39
推 : 所以要再重新下載一次嗎~?71F 05/13 10:39
→ : mega中的那個檔案
→ : mega中的那個檔案
推 : 再下一次吧 I大有修正了73F 05/13 10:40
→ : 雖然偵測軟體顯示已經關掉,會不會還是有發作的風險?74F 05/13 10:41
推 : 好的 感謝~ 也有在更新檔案中看到新的txt檔75F 05/13 10:42
→ : 如果別的病毒偷開或是手殘把SMBv1又打開 就會有風險76F 05/13 10:43
推 : 感謝大大無私分享77F 05/13 10:43
推 : 筆電重灌回到WIN8後就沒法上8.1,現在挫咧等XD78F 05/13 10:44
推 : 問題是我現在不敢連網RRRRRR79F 05/13 10:51
推 : 為啥 我也是一打開就停止運作 感恩大大教我80F 05/13 10:52
→ : 有中毒是用撥接還是用分享器上網的81F 05/13 10:55
→ : Ejaculation能傳張圖給我看看嗎? 停止運作的圖82F 05/13 10:55
→ : 不曉得 不過我用分享器上網沒中槍 當然 現在已經更新了83F 05/13 10:56
→ : 請問如果事先用內建的BitLocker把硬碟鎖住有用嗎?@@ 謝謝84F 05/13 10:57
推 : 所以先把SMB關掉再下載偵測軟體嗎?85F 05/13 11:01
推 : 感謝!!!!86F 05/13 11:05
推 : 想借問一下 如果筆電是雙系統 這樣是不要切到windows那邊就87F 05/13 11:06
→ : 可以嗎 還是也要更新
→ : 可以嗎 還是也要更新
推 : 開啟程式都錯誤..路徑都英文了啊89F 05/13 11:07
推 : 感謝您的熱心90F 05/13 11:10
![[圖]](http://i.imgur.com/qwOXNSl.png)
推 : 請問WIN10看更新紀錄是要更新哪個才算安全~92F 05/13 11:13
推 : 小弟的windows服務中。沒看到smb欸。這是代表?93F 05/13 11:14
推 : 感謝 先處理起來避免萬一94F 05/13 11:16
推 : 請問W7 4月底有更新 這樣還需要更新嗎?95F 05/13 11:19
推 : 好奇問一下 這病毒會影響家中wifi嗎96F 05/13 11:20
![[圖]](http://i.imgur.com/lWVC2nV.jpg)
→ : ariawind請問你的作業系統版本是?99F 05/13 11:24
![[圖]](http://i.imgur.com/4oxz2aY.png)
→ : 回imasa win7 我剛剛有把smb1設成數值0101F 05/13 11:25
推 : 跟樓上一樣WIN7但執行檔案會出現停止運作QQ102F 05/13 11:30
推 : 這樣是有關掉嗎?103F 05/13 11:32
→ : 服且有關掉SMBv1嗎? 還是只代表有關掉SMBv1?105F 05/13 11:32
![[圖]](http://i.imgur.com/Q8CeRH2h.png)
→ : @gemini2010,有readme.txt可以看喔107F 05/13 11:34
推 : 我是win7完了我都沒在更新....108F 05/13 11:37
推 : 我也是開啟錯誤,路徑都英文109F 05/13 11:37
推 : 自己回自己 以解決 我原本的使用者名稱是中文 後來新增一110F 05/13 11:38
推 : 我也開啟錯誤 路徑都英文111F 05/13 11:38
→ : 個英文的使用者後 登入就可以成功檢測112F 05/13 11:38
推 : 有沒有人願意教第一個連結下載後怎麼使用QQ113F 05/13 11:41
→ : 喔喔 用樓樓上的方法成功了 感謝114F 05/13 11:42
→ : 原來是中文使用者,感謝補充115F 05/13 11:43
推 : imasa 我使用者帳戶改成英文也不能耶,要重開?116F 05/13 11:43
推 : 請問一下,如果win7有更新 ,而且用i大的程式包掃過也117F 05/13 11:43
→ : 我xp,第二個連結下載後解壓縮,資料夾名我直接改123,放到118F 05/13 11:43
→ : 顯示(尚未被攻擊或已裝kb)這圖的內容,那還需要去關119F 05/13 11:43
→ : 閉SMBv1這服務嗎?
→ : 閉SMBv1這服務嗎?
→ : C:\底下,再對執行檔按右鍵選新增捷徑,然後改捷徑執行為121F 05/13 11:44
→ : C:\123\detect_doublepulsar_smb.exe --ip xxx.xxx.xxx.x
→ : 這樣直接點捷徑就會執行了,剛掃描完 safe, 感謝原po
→ : XP使用者可以開防火牆,到[例外]那邊,把vnc,遠端相關的取
→ : 消打勾,我的電腦按右鍵選內容,點[遠端],那邊也取消打勾
→ : C:\123\detect_doublepulsar_smb.exe --ip xxx.xxx.xxx.x
→ : 這樣直接點捷徑就會執行了,剛掃描完 safe, 感謝原po
→ : XP使用者可以開防火牆,到[例外]那邊,把vnc,遠端相關的取
→ : 消打勾,我的電腦按右鍵選內容,點[遠端],那邊也取消打勾
推 : 請問 我已經中招了 我進入安全模式 把有wana的檔案都刪126F 05/13 11:49
→ : 之後還是可以繼續用這顆硬碟嗎? (非系統碟) 謝謝回答~
→ : 之後還是可以繼續用這顆硬碟嗎? (非系統碟) 謝謝回答~
推 : 感謝,測試完畢正常128F 05/13 11:51
推 : 想請教大家,我已經新增了,但檢測程式跑完沒有出現129F 05/13 11:53
→ : 關閉的字樣
→ : 關閉的字樣
推 : 感謝131F 05/13 11:54
→ : 我的路徑也都是英文,到底是哪個環節出了問題呢132F 05/13 11:54
→ : 你系統是什麼?133F 05/13 11:56
![[圖]](http://i.imgur.com/ZQfZY70h.jpg)
![[圖]](http://i.imgur.com/suQDWSbh.jpg)
→ : 你這樣就是掃完了吧,第二張圖137F 05/13 11:58
→ : 名字錯了,是SMB1138F 05/13 11:58
![[圖]](http://i.imgur.com/7n0LIQTh.jpg)
→ : 已更正,重開機試試看140F 05/13 12:00
推 : 在LanmanServer中的Parameters新增DWORD才能關閉141F 05/13 12:00
→ : 好!!我終於找到問題了...謝謝各位142F 05/13 12:01
→ : 感激不盡...
→ : 感激不盡...
推 : 我是Win7,按任意鍵繼續後視窗就關掉了,請問是什麼144F 05/13 12:02
→ : 原因呢?
→ : 原因呢?
推 : 謝謝大家,成功關掉了146F 05/13 12:05
推 : SMB1 已設定 但是用 netstat 依舊是 listening147F 05/13 12:12
推 : 只要用程式掃 ok 就沒關係嗎?
推 : 只要用程式掃 ok 就沒關係嗎?
推 : 按任意鍵本來就會關掉 你要看上面那排英文寫什麼149F 05/13 12:18
推 : 請問訊息是No presence of DOUBLEPULSAR SMB implant代表150F 05/13 12:19
→ : 就不會中這個勒索病毒了嗎?
→ : 就不會中這個勒索病毒了嗎?
推 : 是顯示尚未被攻擊152F 05/13 12:21
推 : 因為本篇是說尚未被攻擊或是已安裝更新,好像沒辦法分出來153F 05/13 12:22
→ : 到底是已經安裝更新不怕惹還是還沒被攻擊
→ : 到底是已經安裝更新不怕惹還是還沒被攻擊
新型勒索病毒WannaCry重創台灣!中毒了怎麼辦?如何預防? - 蘋果仁 - 最專業的蘋果科技媒體
![[圖]]()
![[圖]]()
一款新型的勒索病毒 WannaCry(WanaCrypt0r 2.0)最近以極快的速度擴散,全球許多國家包括歐… ...
![[圖]](http://i4.disp.cc/t/s2/applealmond.com/5a9c7c09bc51d2c229f3fd14732e7536.png)
推 : 請問我可以開啟但按了任意鍵繼續後就直接消失是什麼問題?156F 05/13 12:24
推 : 表示程式已跑完 要看「任意鍵繼續」上一行英文內容157F 05/13 12:25
推 : 任意鍵繼續就是表示跑完了阿....任意鍵按下去自然會關閉158F 05/13 12:26
※ 編輯: imasa (114.42.160.182), 05/13/2017 12:28:18推 : win8跑一下就跳到掉正常嗎?161F 05/13 12:29
![[圖]](http://i.imgur.com/HDLiOhB.png)
→ : 一開啟就當掉了163F 05/13 12:30
→ : 樓上請下載新版本試試164F 05/13 12:31
→ : 感謝a大回我,原來是我自己耍笨了...165F 05/13 12:34
推 : 所以XP顯示refused SMBv1是代表還沒被攻擊和潛伏嗎?166F 05/13 12:35
推 : 可以執行了 但跳出closed SWBv1的提示的話要再重開在測?167F 05/13 12:36
推 : 問一下 我沒辦法更新怎麼辦 他一直在檢查更新168F 05/13 12:40
推 : 沒有"尚未被攻擊或已裝KB"提示,只有"SMB關閉"提示就好嗎?169F 05/13 12:40
推 : 感謝版大跟推文大大教學 終於成功了170F 05/13 12:43
推 : 推171F 05/13 12:44
推 : 推推172F 05/13 12:49
推 : 感謝原po173F 05/13 12:50
推 : 太感謝了174F 05/13 12:52
推 : 我是win8.1 也是一開馬上跳掉 我剛剛12點47分下載175F 05/13 12:58
→ : 的QQ 路徑全英文
→ : 的QQ 路徑全英文
→ : 樓上你這個是其他問題 我正在想辦法解決177F 05/13 12:59
推 : SHA1是不是有變動過了?178F 05/13 13:01
推 : 想請問一下原PO,尚未被攻擊和已安裝KB更新都是同樣訊息179F 05/13 13:01
→ : 還是說如果沒裝KB(漏洞還是存在)但是尚未被攻擊的情況下
→ : 會有其他訊息提示?
→ : 還是說如果沒裝KB(漏洞還是存在)但是尚未被攻擊的情況下
→ : 會有其他訊息提示?
推 : 請問,我只有顯示NO PRESENCE那行並沒有顯示已經關閉182F 05/13 13:03
→ : SMBV1 我已經照原PO上一篇的方式操作過了
→ : SMBV1 我已經照原PO上一篇的方式操作過了
推 : 感謝大神,推推!184F 05/13 13:04
![[圖]](http://i.imgur.com/23PG4YLh.jpg)
→ : 我趁他消失前截圖下來186F 05/13 13:05
→ : 請問這是哪邊錯誤呢 感謝
→ : 我才看到原po回覆,謝謝您,再麻煩了 QQ
→ : 請問這是哪邊錯誤呢 感謝
→ : 我才看到原po回覆,謝謝您,再麻煩了 QQ
![[圖]](http://i.imgur.com/4IAlvS2.jpg)
→ : 感恩!!!190F 05/13 13:06
→ : 我已經解決了,再次感謝原PO191F 05/13 13:07
→ : 各位要注意把機碼名稱 SMB1
→ : 各位要注意把機碼名稱 SMB1
![[圖]](http://i.imgur.com/LRcgIMih.jpg)
→ : 注意機碼名稱改成SMB1194F 05/13 13:08
推 : 解壓縮檔案大小不符耶,是我下載錯了嗎195F 05/13 13:08
→ : SHA1 改成這個了?196F 05/13 13:08
推 : 檢測完成 感謝197F 05/13 13:11
推 : 請問安裝windows更新之後還需要裝這個嗎?198F 05/13 13:12
→ : @milddawn 改了,請對照readme文件內的SHA1199F 05/13 13:13
推 : 淚推 你專業200F 05/13 13:14
推 : win8.1一開就自動關掉視窗 怎麼辦呢201F 05/13 13:23
推 : 謝!202F 05/13 13:31
![[圖]](http://i.imgur.com/GoH9mCPh.jpg)
推 : 可是我的vista一直無法更新 ,都停在0不會動 …只能205F 05/13 13:35
→ : 這幾天先別開機orz
→ : 這幾天先別開機orz
→ : @LightEcho 對、改好記得重開機207F 05/13 13:36
推 : 推熱血208F 05/13 13:44
推 : 那有不用連網就能檢查電腦是否有病毒的辦法嗎?209F 05/13 13:48
→ : 很害怕一連網就中標(已經更新到五月版本 5/12更新)
→ : 不好意思麻煩您了
→ : 很害怕一連網就中標(已經更新到五月版本 5/12更新)
→ : 不好意思麻煩您了
推 : 中文名稱版本可執行,檢查已關閉SMB1,謝謝原PO212F 05/13 13:50
推 : 已改QQ感謝213F 05/13 13:57
推 : 記得win10也有這漏洞 但好像沒更新也不會中?214F 05/13 13:59
推 : 請問我是先手動關閉SMB再下載偵測程式檢查,如果也是出現215F 05/13 13:59
→ : 已關閉訊息代表目前機器無漏洞是不是?
→ : 已關閉訊息代表目前機器無漏洞是不是?
推 : 感謝 掃完顯示已關閉SMBv1217F 05/13 14:09
推 : 感謝 把路由器445 port關閉 確實就顯示已經關閉SMB了218F 05/13 14:21
推 : mega下載來的檔案SH1跟原po提供的不符耶??219F 05/13 14:30
推 : File SHA1: 7D4F81F475A96BD28403F6F2E76C054DA62A1C3E220F 05/13 14:32
※ 編輯: imasa (114.42.160.182), 05/13/2017 14:33:46→ : 抱歉是我文章沒更新到 你貼的這SHA1是正確的221F 05/13 14:34
→ : readme檔案裡面寫的222F 05/13 14:35
![[圖]](http://i.imgur.com/VjshGmC.png)
→ : 壓縮檔的內容難道有再改動過嗎?225F 05/13 14:37
推 : 解壓縮後的exe檔 SHA才是我貼的那一串226F 05/13 14:40
→ : @powerg5 你這是壓縮檔的SHA1,我寫的是裡面執行檔的227F 05/13 14:42
推 : 如果顯示潛伏期 該怎麼解決?228F 05/13 14:42
推 : win8.1 下載顯示11點半左右更新的還是會直接跳掉耶229F 05/13 14:46
推 : 關掉SMB還需要更新嗎??230F 05/13 14:47
推 : 請問是先關掉SMB1然後下載偵測之後再更新嗎?445port也要231F 05/13 14:56
推 : 感謝imasa大,新版已可以使用 已關閉 SMBv1協定232F 05/13 14:56
→ : 想問一下之後還需要打開他嗎?
→ : 想問一下之後還需要打開他嗎?
→ : 關嗎?~~234F 05/13 14:56
→ : @wade520 關掉SMBv1只是救急,還是請盡快更新235F 05/13 15:02
→ : @ariawind 不用開了 那是老舊的東西
→ : @ariawind 不用開了 那是老舊的東西
推 : 問一下蠢問題,關閉SMB後中華電信的小烏龜wifi會受到影237F 05/13 15:05
→ : 響嗎.謝謝
→ : 響嗎.謝謝
推 : 顯示 No presence of DOUBLEPULSAR SMB implant就OK了?239F 05/13 15:07
→ : 不懂SMBv1協定?
→ : 不懂SMBv1協定?
推 : 謝謝imasa,但是想請問現在win7 執行是關掉SMBv1而已,這241F 05/13 15:14
→ : 樣就可以? win10的兩台電腦 是都正常更新 就說不用檢查
→ : 非常謝謝原po教學
→ : 樣就可以? win10的兩台電腦 是都正常更新 就說不用檢查
→ : 非常謝謝原po教學
推 : 感謝imasa解答244F 05/13 15:17
推 : 很久沒用電腦了躲過一劫,感謝原po教學245F 05/13 15:18
推 : 不好意思想請問一下樓主,如果我中毒前有將部分檔案246F 05/13 15:23
→ : 放入手機裡面,之後我電腦重灌win10,手機再插入電腦
→ : 後,電腦還有可能因為手機裡面以前的檔案而再次中毒
→ : 嗎,手機裡面的檔案也會被影響到嗎,謝謝您
→ : 放入手機裡面,之後我電腦重灌win10,手機再插入電腦
→ : 後,電腦還有可能因為手機裡面以前的檔案而再次中毒
→ : 嗎,手機裡面的檔案也會被影響到嗎,謝謝您
推 : 感謝大神相助 大神一生平安!250F 05/13 15:28
推 : 照原PO的方法關SMB 但是偵測程式還是跳尚未被攻擊那行?251F 05/13 15:30
→ : 請問xp已關掉SMBv1和已下載更新KB4012598 偵測出來只顯示關252F 05/13 15:32
→ : SMBv1 但沒顯示No presence of DOUBLEPULSAR SMB implant
→ : 請問這是哪邊沒注意到 ?
→ : SMBv1 但沒顯示No presence of DOUBLEPULSAR SMB implant
→ : 請問這是哪邊沒注意到 ?
推 : 顯示關掉SMB1就是安全了吧?255F 05/13 15:35
推 : 推256F 05/13 15:40
推 : semih 我跟你一樣沒顯示那行 不過上網站測已經安全了257F 05/13 15:50
推 : 請問如果是windows server 2012 r2,有辦法執行這支檢測258F 05/13 15:56
→ : 程式嗎?謝謝
→ : 程式嗎?謝謝
推 : 載點掛了!?260F 05/13 15:58
推 : 載點掛了 有人能補嗎?261F 05/13 16:01
推 : icemc大請問你是上什麼網站測的262F 05/13 16:01
→ : 我剛才在更新程式,不好意思 馬上補載點263F 05/13 16:14
※ 編輯: imasa (114.42.160.182), 05/13/2017 16:15:28推 : 他跑完會自己關掉欸 還來不及看到訊息QQ264F 05/13 16:18
→ : 請問樓上的windows版本是?265F 05/13 16:20
DOUBLEPULSAR Scanning Service By Below0Day
Scan a IP to see if it is compromised by DOUBLEPULSAR ...
Scan a IP to see if it is compromised by DOUBLEPULSAR ...
推 : 推一個 正在做預防工作 非常謝謝你分享的內容267F 05/13 16:21
推 : 我的win7 跑完也會直接關掉268F 05/13 16:22
![[圖]](http://i.imgur.com/MMfxT0A.png)
推 : I大 我的也會 我開起來後視窗自動關掉 我是win8.1270F 05/13 16:23
推 : 我的win7跑完也是很快關掉271F 05/13 16:23
推 : 我也被關掉了QQ272F 05/13 16:24
推 : Win7跑完會自己關掉273F 05/13 16:25
推 : 剛剛抓完 Win7 跟樓上一樣跑完直接關掉來不及看QQ274F 05/13 16:26
推 : 我的win7跑完也是很快關掉 看不到訊息QQ275F 05/13 16:27
![[圖]](http://i.imgur.com/fGkRro6h.jpg)
→ : 這樣是什麼意思QAQ277F 05/13 16:27
推 : 也是來不及看到訊息,就自動關閉了。278F 05/13 16:28
推 : 推熱心的高手 請問假如後來才把smb關掉 可是之前就中毒279F 05/13 16:28
→ : 會顯示什麼呢
→ : 會顯示什麼呢
推 : 我的是win 7 旗艦山寨板281F 05/13 16:30
推 : 感謝分享282F 05/13 16:30
→ : @JieshinRS 那是debug用的訊息 可以不管他283F 05/13 16:31
推 : iceme大感謝284F 05/13 16:31
推 : 所以這樣是有關掉ok的嗎 還是有中毒……不好意思我是電285F 05/13 16:32
→ : 腦白痴QAQ
→ : 腦白痴QAQ
推 : win7跑完自己關掉+1287F 05/13 16:32
推 : 感謝你288F 05/13 16:33
推 : 感謝大大..真的感謝大大289F 05/13 16:34
![[圖]](http://i.imgur.com/pizBJ0gh.png)
推 : 有用有推!!291F 05/13 16:42
推 : 先手動關了再來跑 都直接跳掉 好不容易有截圖到292F 05/13 16:42
推 : 請問能放回前面那一版的測試程式嗎?這一版的跑完會跳掉293F 05/13 16:44
推 : win7 跳掉+1294F 05/13 16:45
推 : 請問跳出This machine has already close SMBv1....295F 05/13 16:48
→ : 是只代表關閉了協議 還是同時代表關閉協議和沒中毒
→ : 是只代表關閉了協議 還是同時代表關閉協議和沒中毒
![[圖]](http://i.imgur.com/Jw3IsxQ.jpg)
→ : TypeError是指><?298F 05/13 16:50
推 : 一直更新失敗,何解?299F 05/13 16:53
推 : 有做更新 跑程式有顯示找到最新的KB更新 但跟上面一些板友300F 05/13 16:54
※ 編輯: imasa (114.42.160.182), 05/13/2017 16:56:24→ : 貼的圖一樣 下面顯示TypeError 然後跑完秒關 >"<301F 05/13 16:54
→ : TypeError應該已經修復了,請重新下載新版302F 05/13 16:57
推 : 謝謝大大,可以安心了303F 05/13 16:57
推 : 謝謝原PO,辛苦了304F 05/13 16:58
推 : @imasa 那請問跳出已經關閉協議也同時代表沒中毒嗎?305F 05/13 16:58
推 : 謝謝原PO 辛苦你了 檢查完畢沒有問題~306F 05/13 17:02
推 : 感謝I大 新版成功跑完未檢測出 真的辛苦你了!!307F 05/13 17:04
推 : 感謝i大!新版顯示SMB1已關閉!太開心了!308F 05/13 17:08
推 : 感謝I大 真心感謝您 QQ309F 05/13 17:10
推 : 謝謝i大,不過我跑出來只顯示SMBv1已關和找到KB4019264310F 05/13 17:16
→ : 沒有顯示有沒有被攻擊
→ : 沒有顯示有沒有被攻擊
推 : win7點完就跳掉怎辦?312F 05/13 17:18
推 : 樓上是載到舊版嗎? 剛剛更新過的版本應該不會跳掉了 @@313F 05/13 17:19
推 : 用了104版還是會跳掉呢314F 05/13 17:20
推 : 請問關閉這個會影響到什麼功能呢? 想知道自己平常會315F 05/13 17:23
→ : 不會用到
→ : 不會用到
推 : 有了104版本可行 感謝大大317F 05/13 17:29
[此連結已被禁止顯示]
VID_20170513_163026.mp4 ...
VID_20170513_163026.mp4 ...
推 : 請問一下有顯示KB4xxxxxx found是否就是代表漏洞已補好?319F 05/13 17:31
→ : win7跳掉 +1320F 05/13 17:31
→ : 你們請先下載新版試試看,看影片你像是用舊版本的321F 05/13 17:35
→ : @happysunny 關閉SMBv1 windows應該會去用SMBv2
→ : @happysunny 關閉SMBv1 windows應該會去用SMBv2
推 : 感謝更新版本323F 05/13 17:37
推 : 請問跑完是顯示already"refused" SMBv1...是一樣的意思嗎324F 05/13 17:39
→ : 請問win8怎麼辦QQ325F 05/13 17:40
推 : 請問win7執行後跳出UnicodeEncodeError怎麼辦QQ,有確定326F 05/13 17:44
→ : 是用104版本,檔案路徑也確定只有英文…
→ : 這是錯誤訊息的截圖 http://i.imgur.com/3UxJlZa.jpg
→ : 是用104版本,檔案路徑也確定只有英文…
→ : 這是錯誤訊息的截圖 http://i.imgur.com/3UxJlZa.jpg
![[圖]](http://i.imgur.com/3UxJlZa.png)
推 : 請問更新版本是? 我今天12點47分下載的 一樣是開329F 05/13 17:46
→ : 了馬上跳掉@@
→ : 了馬上跳掉@@
![[圖]](http://i.imgur.com/fR09RCl.jpg)
推 : @love 剛剛下午16:56有最新版本更新喔 重載看看吧333F 05/13 17:49
推 : 好的 感謝您334F 05/13 17:51
推 : 跟SpaghettI101很類似的情況閃退~win7是32位元的335F 05/13 17:56
→ : 阿~跟higuma47的相同才是~完全一樣的內容
→ : 阿~跟higuma47的相同才是~完全一樣的內容
[此連結已被禁止顯示]
EternalBlueDetector104.mp4 ...
EternalBlueDetector104.mp4 ...
→ : 再拜託大大338F 05/13 17:59
→ : 樓上你的影片就不能放個安全點的地方 像是YOUTUBE嗎? =_=339F 05/13 18:04
推 : I大 新版1.04反而XP 32位元會錯誤 原本1.01正常340F 05/13 18:04
推 : 請問更新完還要打開SMBv1嗎? 已確定關掉和安裝更新了341F 05/13 18:09
![[圖]](http://i.imgur.com/KOaoLb8.png)
→ : (104版任意鍵後跳出) (youtube重傳)344F 05/13 18:14
推 : XP我用101版沒問題 我剛剛刻意試兩個版本345F 05/13 18:15
→ : @iSad56 這樣的運作方式是正常的 我沒看到什麼錯誤?346F 05/13 18:18
→ : @OSAME 因為101還不會掃描XP的KB
※ 編輯: imasa (114.42.160.182), 05/13/2017 18:23:04→ : @OSAME 因為101還不會掃描XP的KB
推 : 有成功了 再下載一次就可以了!感謝348F 05/13 18:23
→ : 已更新1.05連結、發生問題的人請下載新版試試看349F 05/13 18:23
→ : 以前我也是都不安裝更新的,最近兩年買新電腦才開始350F 05/13 18:24
→ : 讓它更新,只要是重要更新,更下去就是了QQ
→ : 讓它更新,只要是重要更新,更下去就是了QQ
推 : 但是我沒有看到No presence of DOUBLEPULSAR SMB implant352F 05/13 18:26
推 : 問一下 點大大提供的打包程式 直接是顯示說353F 05/13 18:26
→ : This machine has already closed SMBv1 protocol
→ : 這樣是成功了嗎?
→ : This machine has already closed SMBv1 protocol
→ : 這樣是成功了嗎?
推 : 請問1.05版是否可以增加mega以外的載點?>人<356F 05/13 18:26
→ : 或是任何其他的結果 它就直接關掉了呢@@ 是正常的嗎357F 05/13 18:26
→ : 沒有跑出No presence of DOUBLEPULSAR SMB implant358F 05/13 18:26
![[圖]](http://i.imgur.com/bWQxKWsh.jpg)
→ : 這樣是ok嗎?360F 05/13 18:30
推 : 請問若偵測被攻擊成功 但似乎還沒有檔案被加密(?) 那這時361F 05/13 18:30
推 : 我成功的是104版本362F 05/13 18:30
→ : 才開始關SMB1 安裝更新檔來的及嗎? 或是直接重灌了? 謝謝363F 05/13 18:31
推 : 1.05 XP檢測成功....1.04 掃KB會閃退364F 05/13 18:34
→ : @flywan 有1.05了喔,請改用1.05試試看365F 05/13 18:38
※ 編輯: imasa (114.42.160.182), 05/13/2017 18:39:07推 : XP要怎麼執行?@@367F 05/13 18:40
噓 : 請問 先關SMBv1 再做偵測 這順序對嗎???368F 05/13 18:41
→ : 可以369F 05/13 18:43
→ : @DaringDo 要打開命令列,開始->執行->輸入cmd
→ : @DaringDo 要打開命令列,開始->執行->輸入cmd
推 : 感謝~新版的在xp可以正常檢測了~371F 05/13 18:44
推 : 1.05執行成功372F 05/13 18:45
推 : 喔喔 我抓的是1.04373F 05/13 18:46
→ : 如果用大大的程式沒被攻擊會顯示什麼出來呢374F 05/13 18:46
推 : 105版跟104版狀況一樣 任意鍵後跳出 沒看到結果375F 05/13 18:47
→ : 再麻煩大大幫忙
→ : 再麻煩大大幫忙
推 : 喔 我會了.. 感謝回答@@377F 05/13 18:52
推 : 執行前請確認檔案有無被偷改過,請問要怎麼確認呀?378F 05/13 18:52
→ : @iSad56 從你的影片來看 你的SMBv1已經關掉了379F 05/13 18:52
推 : 1.05版跟zxcv82大的狀況一樣 不過目前沒看到檔案加密380F 05/13 18:53
→ : 幸好5月初有跑安全性更好
→ : 幸好5月初有跑安全性更好
推 : 推,想請問如果Win7已經安裝過微軟修補檔,還需要再382F 05/13 19:02
推 : 防火牆關閉Port445嗎?那SMBv1服務呢?
推 : 防火牆關閉Port445嗎?那SMBv1服務呢?
推 : 1.05成功 感謝大大384F 05/13 19:04
![[圖]](http://i.imgur.com/NfqDBFc.jpg)
→ : 暫時safe, 請盡快安裝更新386F 05/13 19:06
![[圖]](http://i.imgur.com/3Q6KRyK.jpg)
→ : 請問I大,看我的狀況應該是沒問題,可是怎麼還有安裝388F 05/13 19:08
→ : 還有安裝MS17-010,請問這樣是安全的嗎?
→ : 還有安裝MS17-010,請問這樣是安全的嗎?
推 : 推推!390F 05/13 19:10
推 : 感激不盡391F 05/13 19:16
推 : @qwert 那是說你的電腦已經有把這個漏洞補起來了392F 05/13 19:19
推 : 原來如此,謝謝A大說明393F 05/13 19:22
![[圖]](http://i.imgur.com/TcVDWszh.jpg)
![[圖]](http://i.imgur.com/D0tExJS.jpg)
推 : 我是成功了 可是電腦下載更新包說不適用更新...396F 05/13 19:25
→ : @cy4750 打開命令列,開始->執行->輸入cmd然後輸入提示指令397F 05/13 19:26
→ : @qwertasdfgh 提示你已經有安裝了 這是安全的
→ : @qwertasdfgh 提示你已經有安裝了 這是安全的
推 : 推推,感謝大大協助!!! 希望大家電腦資料都安全~399F 05/13 19:28
→ : @ez2dancer SMBv1已經過時 可以不需要了 現在都v2以上400F 05/13 19:28
![[圖]](http://i.imgur.com/GBbjj0ph.jpg)
→ : 出現這樣 但是沒有顯示 has already installed ms17-402F 05/13 19:30
→ : 010
→ : 這樣也是ok的嗎?
→ : 010
→ : 這樣也是ok的嗎?
→ : @lovecoffee 少加個判斷而已 我1.05已經加了405F 05/13 19:34
推 : 我輸入那串+ip之後 顯示"不是內部或外部命令 可執行的程式406F 05/13 19:35
推 : thanks 沒更新 但是檢查安全 呼呼 我可愛ㄉA片407F 05/13 19:35
推 : OK 好的 非常感謝您 !!408F 05/13 19:35
→ : 或批次檔" 這樣代表我少打了什麼嗎??409F 05/13 19:35
推 : 十分謝謝I大410F 05/13 19:38
→ : @cy4750 你應該是執行錯指令了、上個圖看看你輸入什麼吧411F 05/13 19:42
推 : detect_doublepulsar_smb.exe --IP 這樣??412F 05/13 19:44
→ : 你還要找出你的IP,可以輸入ipconfig去找413F 05/13 19:45
推 : 這系列文很棒,有沒有版友做個總整理!? 非常感謝i414F 05/13 19:46
→ : 大及p大 以及推文中熱心的版友:)
→ : 大及p大 以及推文中熱心的版友:)
推 : 有 我有找到IP了 我輸入的就是這串 後面是我查到的IP這樣416F 05/13 19:46
→ : 那你大概是目錄錯了...要到執行檔的目錄去執行喔417F 05/13 19:48
![[圖]](http://i.imgur.com/xLjK9yrh.png)
→ : 我已經裝了更新檔,但仍顯示未安裝,這樣會有問題嗎?419F 05/13 19:48
→ : @hl571536xz有可能是安裝時寫key的路徑我沒掃描到420F 05/13 19:50
→ : 如果可以的話 輸入regedit->按F3->輸入KBID 看看他出現在哪
→ : 如果可以的話 輸入regedit->按F3->輸入KBID 看看他出現在哪
推 : AAAAAAAAAAAAAAAAAAAAAAAAAA422F 05/13 19:52
![[圖]](http://i.imgur.com/i9NCdcs.jpg)
→ : 請問這樣代表???謝謝回應424F 05/13 19:56
→ : XP已經有裝那個更新檔了 但是沒有關SMB 想先測看看
→ : 請問裝完更新之後還要去關SMB嗎
→ : XP已經有裝那個更新檔了 但是沒有關SMB 想先測看看
→ : 請問裝完更新之後還要去關SMB嗎
![[圖]](http://i.imgur.com/gtZPdXxh.png)
推 : 請問顯示目前未被攻擊,但偵測程式說我未安裝更新,可是428F 05/13 19:59
→ : 我看控制台更新記錄已經安裝完成了,這樣該怎麼處理呢?
→ : 謝謝
→ : 我看控制台更新記錄已經安裝完成了,這樣該怎麼處理呢?
→ : 謝謝
推 : i大 不好意思 剛剛確認電腦沒事後就開著電腦放著睡著了431F 05/13 20:01
→ : 基於果
→ : 基於果
推 : 推433F 05/13 20:03
→ : @hl571536xz 是的,能麻煩你把所有有關的路徑都找給我嗎?434F 05/13 20:04
推 : 小貓亂踩誤發推文 真的很不好意思435F 05/13 20:06
推 : XD 貓圖ㄋ?436F 05/13 20:10
※ 編輯: imasa (114.42.160.182), 05/13/2017 20:14:22推 : 有辦法將相關路徑一次匯出嗎?這路徑還挺多的XD437F 05/13 20:16
→ : 可能沒辦法 你找HKLKM和CUEERNT_USER底下的路徑給我就好438F 05/13 20:19
推 : 推439F 05/13 20:21
推 : XP可試試上面laechan大推文的方法:執行檔右鍵>建立捷徑440F 05/13 20:26
→ : 捷徑右鍵>內容,目標>後面加上 --ip xxx.xxx.xxx.x
→ : http://i.imgur.com/KgMuHxw.jpg
→ : 捷徑右鍵>內容,目標>後面加上 --ip xxx.xxx.xxx.x
→ : http://i.imgur.com/KgMuHxw.jpg
![[圖]](http://i.imgur.com/KgMuHxw.jpg)
![[圖]](http://i.imgur.com/BJRakVY.jpg)
推 : 推XP使用方法!! 成功確認沒問題!感恩447F 05/13 20:37
推 : 謝謝 執行中448F 05/13 20:38
![[圖]](http://i.imgur.com/qQncRYR.jpg)
→ : 感謝 但xp我用捷徑的方式會閃退 只好打cmd手動輸入ip就ok了450F 05/13 20:39
→ : 樓上 detect_doublepulsar_smb.exe --ip 很像空一格才行
→ : 樓上 detect_doublepulsar_smb.exe --ip 很像空一格才行
推 : --ip 前後都要空一格452F 05/13 20:47
![[圖]](http://i.imgur.com/fLWMAbc.jpg)
→ : 第二行是?454F 05/13 20:48
推 : 樓上這樣就是ok沒問題囉455F 05/13 20:50
推 : 感謝456F 05/13 20:51
推 : 感謝i大,順利跑完程式確認沒問題了457F 05/13 20:53
推 : 但都是暫時擋下這一波QQ 還是得乖乖更新系統458F 05/13 20:56
推 : 有用有推!感謝提供!!459F 05/13 20:58
![[圖]](http://i.imgur.com/A7HtjZz.jpg)
→ : 請問如果我顯示這樣是安全的嗎461F 05/13 21:03
推 : 大大你的跟bill大是一樣的462F 05/13 21:05
推 : 謝謝分享 上了一課463F 05/13 21:07
推 : 我是無法下載改寫後的版本 他說ERRRO... 請問如何處理QQ464F 05/13 21:07
→ : 我的是WIN7
→ : 我的是WIN7
推 : 可是我的沒顯示No presence of DOUBLEPULSAR SMBimplant466F 05/13 21:08
→ : 超抖的
→ : 超抖的
推 : 因為你先關了smb才跑程式對嗎468F 05/13 21:16
→ : 我關之前跑過一次,也是這樣結果哦
→ : 我關之前跑過一次,也是這樣結果哦
推 : 請問下載完,點程式兩下,等他跑訊息跑出470F 05/13 21:17
→ : No presence of DOUBLEPULSAR SMB implant
→ : No presence of DOUBLEPULSAR SMB implant
推 : 請問imasa大,系統win8測試之後是如下的畫面472F 05/13 21:19
→ : 訊息裡面有看到這段字就是目前安全嗎473F 05/13 21:19
推 : 所以我要打開再跑嗎474F 05/13 21:22
推 : 想請問一下 如果已經離線更新 登錄檔SMB1(0)要刪掉嗎?475F 05/13 21:24
![[圖]](http://i.imgur.com/G4wh02S.jpg)
推 : f大,應該不用 已經顯示KB4012216 found 洞已經被堵477F 05/13 21:30
→ : 住,請問imasa大,是這樣對嗎?
→ : 住,請問imasa大,是這樣對嗎?
推 : 感謝大神479F 05/13 21:31
推 : 請問也有人裝了KB4019264 但是偵測說沒裝的嗎480F 05/13 21:31
推 : no481F 05/13 21:35
推 : 沒有顯示No presence of DOUBLEPULSAR SMBimplant的話
→ : 是要再把smb開起來跑一次程式嗎
推 : 沒有顯示No presence of DOUBLEPULSAR SMBimplant的話
→ : 是要再把smb開起來跑一次程式嗎
推 : 感謝484F 05/13 21:43
![[圖]](http://i.imgur.com/RzpkPaCh.png)
推 : 搞定惹!感謝imasa大大486F 05/13 21:46
![[圖]](http://i.imgur.com/aWRprAQ.png)
→ : KB4019264的安裝方式用的是CPS安裝 這條路我沒有偵測到489F 05/13 22:21
→ : 晚點補上
→ : 晚點補上
推 : 推 謝謝這篇的幫助 雖然我還是不敢連線來偵測潛伏病毒491F 05/13 22:23
推 : your system is already installed MS17-010 什麼意思492F 05/13 22:31
→ : 用那個檢查程式要連網路嗎?493F 05/13 22:32
推 : 真的是一邊流淚一邊推 太感謝494F 05/13 22:45
推 : 不是要先下載下來嗎?495F 05/13 22:46
→ : 兩個檔案均被修改過,請作者重新確認,謝謝(File SHA1不符)496F 05/13 23:26
推 : 閃一秒就關了win7啥都沒顯示???497F 05/13 23:29
![[圖]](http://i.imgur.com/PBRKVY3.jpg)
→ : 有安裝更新但好像無法執行偵測499F 05/13 23:36
推 : 感謝!!!500F 05/13 23:36
推 : 感謝!! 幸好自己還沒中標 但一直沒辦法成功更新.....501F 05/14 00:18
推 : 請問各位 我從去年三月中後更新都失敗 剛手動載了4019264502F 05/14 00:22
→ : 也成功安裝了4019264 但前面更新還是失敗 這樣安全嗎?
→ : 也成功安裝了4019264 但前面更新還是失敗 這樣安全嗎?
→ : 這樣有裝成功 只要有其中一個就行了504F 05/14 00:28
推 : 感謝505F 05/14 00:29
推 : 必須推506F 05/14 00:39
推 : 感謝507F 05/14 00:44
推 : 真心感謝大大508F 05/14 00:48
推 : 不好意思 請教一下 剛剛成功啟動後關閉509F 05/14 00:59
→ : 想要放到其他資料夾裡 卻跳出無法完成動作
→ : 資料夾裡的檔案已在其他程式開啟 ???
→ : 但我明明確認資料夾和執行檔都關閉了阿
→ : 想要放到其他資料夾裡 卻跳出無法完成動作
→ : 資料夾裡的檔案已在其他程式開啟 ???
→ : 但我明明確認資料夾和執行檔都關閉了阿
→ : test513F 05/14 01:03
→ : 難道是程式只是畫面關閉 其實還在執行嗎514F 05/14 01:03
→ : 請問有什麼辦法可以檢查嗎
→ : 請問有什麼辦法可以檢查嗎
→ : 先謝謝,小弟是電腦白痴 請有經驗的幫解答517F 05/14 01:04
→ : 是的518F 05/14 01:07
推 : 謝謝樓上 也謝謝原po519F 05/14 01:27
推 : 1.05版本也能一併檢查是否被病毒入侵潛伏嗎?520F 05/14 01:28
→ : 先謝謝大大了
→ : 先謝謝大大了
推 : 請問SHA1要從哪裡看呢?522F 05/14 01:55
推 : 我剛剛看了一下大小好像不太對?523F 05/14 01:59
推 : 不考慮開個源嗎XD 直接丟exe有些人會怕吧524F 05/14 02:01
→ : 大小請看實際大小不是磁碟大小喔525F 05/14 02:05
→ : SHA1看的是裡面執行檔 不是壓縮檔本身喔
→ : 謝謝、有考慮要開源、但目前會先等code穩定下來再考慮這事
→ : SHA1看的是裡面執行檔 不是壓縮檔本身喔
→ : 謝謝、有考慮要開源、但目前會先等code穩定下來再考慮這事
![[圖]](http://i.imgur.com/HusC6Iah.jpg)
→ : 這個後閃退,請問有什麼方法嗎QAQ?感恩原po529F 05/14 02:28
推 : 感謝大大回覆。已檢測完成 真心感謝530F 05/14 02:28
※ 編輯: imasa (114.42.160.182), 05/14/2017 03:03:16→ : 1.06放上去了,執行上有問題的人可以下載看看問題解決了沒531F 05/14 03:04
推 : 謝謝i大的熱心,感激不盡!532F 05/14 03:05
推 : 謝謝大大 已關閉 已檢測533F 05/14 03:08
![[圖]](http://i.imgur.com/U3J4r7P.jpg)
推 : 另外,英文內文只有說,我有阻擋了SMVB1也有更新了535F 05/14 04:23
→ : 但是沒有說明最重要的DOUBLEPULSAR SMB implant啊? Orz
→ : 但是沒有說明最重要的DOUBLEPULSAR SMB implant啊? Orz
推 : 計算出來的SHA1跟文章裡的不一樣,是檔案被修改嗎537F 05/14 07:40
![[圖]](http://i.imgur.com/QbFDJdR.jpg)
→ : 我看不太懂 ,可以幫我解釋嗎 ?先謝謝幫忙解釋的那位539F 05/14 08:14
推 : 求救...Win7開起來 跑個2秒 視窗就不見了 什麼都沒看到540F 05/14 08:59
→ : @maxipin 如果程式送的SMB requert被你的電腦擋下來541F 05/14 10:52
→ : 就有可能不會秀出來 那是正常的
→ : 另外Exception是程式在搜尋registry時搜到他無法判讀的字元
→ : 就有可能不會秀出來 那是正常的
→ : 另外Exception是程式在搜尋registry時搜到他無法判讀的字元
推 : @as55721 它叫你去裝KB4019264這個更新 你確認一下裝了沒544F 05/14 10:53
→ : 這部分跟我們尋找MS17-010 KB是無關的 所以只先秀訊息出來545F 05/14 10:54
→ : @as55721 然後你掃描的結果當下是安全的546F 05/14 10:54
→ : ying8375 你能用命令列執行看看嗎? 還有請確認是1.06版547F 05/14 10:55
推 : 如果偵測中了請問要怎麼處理?548F 05/14 11:19
推 : win10強制更新才是先知549F 05/14 11:30
![[圖]](http://p2.komica.ml/00/src/1494732334459.jpg)
→ : 我沒看到 No presence of DOUBLEPULSAR SMB implant551F 05/14 11:31
推 : 關掉SMB1之後下去測 顯示已經關閉 那測的到關閉之552F 05/14 11:35
→ : 前有沒有中嗎?還是已經中了也會顯示出來@@?
→ : 前有沒有中嗎?還是已經中了也會顯示出來@@?
推 : 我的狀況跟樓上一樣554F 05/14 11:37
→ : 也是沒看到No presence of DOUBLEPULSAR SMB implant
→ : 也是沒看到No presence of DOUBLEPULSAR SMB implant
推 : 我跟wsx大一樣 感覺是沒問題556F 05/14 12:04
→ : 這個病毒跟WW3會有關係嗎?557F 05/14 12:06
推 : SHA1要怎麼看558F 05/14 12:28
推 : 有指定或建議的解壓縮方式嗎 再次感謝大大559F 05/14 12:55
![[圖]](http://i.imgur.com/jsdMaLu.png)
→ : 請問出現這種狀況,是哪個環節錯了呢?561F 05/14 13:09
--
回列表(←)
分享